본문 바로가기
악성코드 정보

부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중

by AhnLab ASEC 분석팀 2020. 1. 6.

202016ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되어 국내에 유포된 것을 확인하였다. 이전과 동일하게 공정거래위원회를 사칭하여 이메일 첨부파일 형태로 유포 중으로 추정되며, 첨부된 파일은 *.alz 형태의 압축파일이며 악성 실행파일을 포함하고 있다. (PDF 문서로 위장된 실행파일) 이러한 Nemty 랜섬웨어는 빠르게 변종이 제작되어 유포되고 있으며, VirusTotal의 시그니처 진단으로 탐지하지 않더라도 V3의 행위탐지, 프로세스 메모리검사 기능에 의해 실행 시점에 탐지 및 차단이 가능하다.

 

이메일 첨부파일 형태

 

PDF 아이콘으로 위장한 실행파일 형태

 

2018년 12월 30일에 유포된 것과 유사한 방식으로 이메일의 첨부파일 형태로 유포된 것으로 추정되며, 2020년 1월 6일에 아래와 같은 파일명 형태로 유포 중인 것으로 확인되었다.

 

  • 사용중_이미지_200106(꼭 확인하시고 조치부탁드릴께요).exe
  • 원본_200106(꼭 확인하시고 조치부탁드릴께요).exe
  • 부당 전자상거래 위반행위 안내(20200106)자료 반드시 준비해주세요.exe
  • 전산 비전산자료 보존 요청서(20200106)자료 반드시 준비해주세요.exe

 

2019.12.02 NEMTY 랜섬웨어 v2.2 국내발견!!

 

NEMTY 랜섬웨어 v2.2 국내발견!!

2019년 12월 02일 ASEC 분석팀은 NEMTY 랜섬웨어 버전이 2.0에서 2.2로 업데이트 되어 유포된 것을 발견하였다. '이력서' 또는 '부당 전자상거래 위반행위 안내' 로 위장한 유포방식을 포함해 감염제외 국가, 감염..

asec.ahnlab.com

Nemty 2.5 는 이전 버전과 동일하게 특정 프로세스 및 서비스를 종료 시킨 후 볼륨 쉐도우를 삭제하며 암호화를 진행한다. 해당 버전에서 달라진 점은 볼륨 쉐도우 삭제 명령어 중 "vssadmin.exe delete shadows /all /quiet" 명령어가 사라지고 powershell 명령어가 추가되었다.

 

Nemty 2.5 프로세스 트리
Nemty 2.5 변경된 명령어

또한 해당 랜섬웨어를 "daite drobovik" 이름으로 Run 키 등록하는 기능이 추가되었으며, 뮤텍스 이름이 "Vremya tik-tak... Odinochestvo moi simvol..." 로 변경되었다. 2.5 버전으로 업데이트된 랜섬노트는 아래와 같다.

 

랜섬노트

 

Nemty 랜섬웨어는 해당 방식을 통해 꾸준하게 유포 중이므로 사용자는 의심스러운 이메일 및 첨부파일을 실행할 때 주의가 필요하다. 현재 V3에서는 이와 같은 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.

 

[파일 진단]

Trojan/Win32.MalPE (2020.01.06.03)

 

[메모리 진단]

Win-Trojan/MalPeP.mexp

 

[행위 진단]

Malware/MDP.SystemManipulation.M2599

 

댓글1